我们正在尝试通过向 Kubernetes 控制平面提供受信任的 CA(ssl 证书)来保护我们的 AKS 集群。 默认 API 服务器证书是在创建集群时颁发的。 有什么方法可以在配置集群之前将可信证书嵌入到控制平面中?
就像当我们尝试访问 kubernetes 服务器时,它会显示 ssl 证书问题 为了摆脱这种情况,我们必须能够将组织证书添加到 api 服务器。 当我们在 Cloud(托管 Kubernetes 集群)中创建集群时,我们无法访问控制平面节点,因此我们将无法配置 api 服务器。
谁能帮我弄清楚如何将 ssl 证书添加到 kubernetes 的控制平面?
【问题讨论】:
标签: ssl kubernetes ssl-certificate azure-aks
当我们在 Cloud(托管 Kubernetes 集群)中创建集群时,我们会 无法访问控制平面节点,因此我们不会 可以配置api服务器。
对于喜欢除 OOB 解决方案之外的其他任何东西的每个人来说,这都是最大的不便和痛苦…… 我的回答是否定的。不,很遗憾,在使用 AKS 的情况下您无法做到这一点。
顺便说一句,这里还有有趣的信息:Self signed certificates used on management API。尽管答案对您没有帮助,但在此处复制粘贴以供将来参考。
您是正确的,根据正常的 PKI 规范规定使用 用于 SSL 传输的非自签名证书。然而,我们之所以 目前不支持完全签名的证书是:
Kubernetes 需要能够自行生成和签署证书 众所周知,注入自己的 CA 的用户容易出错 在整个 Kubernetes 中
我们意识到希望摆脱自签名证书, 但是,这需要在上游进行工作才能更有可能 成功。官方文档也解释了很多 和要求一样:
https://kubernetes.io/docs/concepts/cluster-administration/certificates/ https://kubernetes.io/docs/tasks/tls/managing-tls-in-a-cluster/ https://kubernetes.io/docs/setup/best-practices/certificates/
此外,这篇文章更深入地探讨了有关证书的问题 管理:
https://jvns.ca/blog/2017/08/05/how-kubernetes-certificates-work/
【讨论】: